Business Impact Analyse

Eine Business Impact Analyse (BIA) ist ein strukturiertes Verfahren nach ISO

22301 Clause 8.2.2 zur Identifikation kritischer Geschaeftsprozesse und deren potenzieller Auswirkungen bei Unterbrechungen. Die BIA ermittelt Zeitparameter wie RTO (Recovery Time Objective), RPO (Recovery Point Objective) und MTPD (Maximum Tolerable Period of Disruption) als Grundlage fuer BCM-Strategien. Nach BSI 200–4 ist die BIA der zentrale Baustein des Business Continuity Managements.

Die BIA-Durchführung nach BSI 200–4 folgt einem dreistufigen Ansatz: (1) Prozessidentifikation – alle Geschäftsprozesse systematisch erfassen und deren Verantwortliche bestimmen. (2) Schadensanalyse – potenzielle Auswirkungen qualitativ und quantitativ bewerten (finanziell, reputativ, regulatorisch, operativ). (3) Zeitparameterbestimmung – MTPD, RTO, RPO und MBCO für jeden kritischen Prozess festlegen. Strukturierte BIA-Interviews mit Fachbereichsleitern und Management ergänzen die Analyse.

Die BIA (Business Impact Analyse) analysiert die Auswirkungen von Prozessunterbrechungen – was passiert, wenn ein Prozess ausfällt. Die Risikoanalyse hingegen bewertet Eintrittswahrscheinlichkeiten und Bedrohungsszenarien – warum ein Prozess ausfallen könnte. Nach ISO

22301 sind beide Verfahren in Clause 8.2 gefordert und ergänzen sich: Die BIA liefert Wiederherstellungsprioritäten, die Risikoanalyse identifiziert präventive Maßnahmen.

RTO (Recovery Time Objective) ist die Zielzeit zur Wiederherstellung eines Prozesses nach einer Stoerung. RPO (Recovery Point Objective) definiert den maximal akzeptablen Datenverlust in Zeiteinheiten. MTPD (Maximum Tolerable Period of Disruption) ist die absolute Obergrenze, wie lange ein Prozess ausfallen darf, bevor irreversible Schaeden entstehen. MBCO (Minimum Business Continuity Objective) beschreibt das minimale akzeptable Leistungsniveau waehrend einer Stoerung. Die BIA ermittelt diese Parameter fuer jeden kritischen Prozess.

Ja. Nach dem NIS-2-Umsetzungsgesetz (§

30 Abs.

2 Nr.

3 BSIG) müssen betroffene Unternehmen Maßnahmen zur Aufrechterhaltung des Betriebs (Business Continuity) nachweisen. Die BIA ist dafür das zentrale Instrument, da sie kritische Prozesse identifiziert und Wiederherstellungsprioritäten festlegt. Der BSI-Standard 200–4 liefert den konkreten Umsetzungsrahmen mit drei Ausbaustufen: Reaktiv-BCMS (4–8 Wochen), Aufbau-BCMS (3–6 Monate) und Standard-BCMS mit ISO‑22301-Konformität.

Das BSI stellt im Rahmen des Standards 200–4 kostenlose Hilfsmittel bereit, darunter eine Praesentationsvorlage zur Business Impact Analyse und Fragebogenvorlagen fuer BIA-Interviews. Ergaenzend bieten ISO

22301 und ISO/TS

22317 detaillierte BIA-Leitfaeden. Eine gute BIA-Vorlage umfasst: Prozesssteckbriefe, Schadenskategorien (finanziell, regulatorisch, reputativ), Zeitparameter-Tabellen (RTO/RPO/MTPD), Abhaengigkeitsmatrizen und Priorisierungsraster.

Die BIA sollte mindestens jaehrlich aktualisiert werden, empfohlen wird eine Ueberpruefung bei wesentlichen Aenderungen der Geschaeftsprozesse, IT-Infrastruktur oder Organisationsstruktur. Nach ISO

22301 Clause 9.1 ist die regelmaessige Ueberwachung und Bewertung Pflicht. Das BSI empfiehlt im Standard 200–4 zudem anlassbezogene Aktualisierungen nach Vorfaellen, Uebungen oder regulatorischen Aenderungen. Ein jaehrlicher BIA-Review-Zyklus ist gaengige Best Practice im BCM.